机构
- 机构
- 项目
- 事项
服务类型
信息系统工程监理
服务流程
网络安全等级保护测评服务流程主要包括以下几个阶段: 测评准备 ? 确定测评对象:明确需要进行等级保护测评的信息系统或网络。 ? 成立测评项目组:测评机构组建专业团队,成员包括项目负责人、安全技术专家、安全管理专家等。 ? 收集相关资料:收集测评对象的系统拓扑图、安全管理制度、系统使用手册等资料。 ? 签订测评合同:测评机构与委托方签订合同,明确测评范围、内容、时间、费用等。 方案编制 ? 初步调研:测评人员对测评对象进行初步调研,了解系统的基本情况、安全现状等。 ? 制定测评方案:根据系统的安全保护等级和相关标准,制定详细的测评方案,包括测评指标、方法、工具和流程等。 ? 方案评审:测评机构内部对测评方案进行评审,确保方案的科学性、合理性和可操作性。 现场测评 ? 访谈:与测评对象的相关人员进行访谈,了解系统的安全管理和运行情况。 ? 检查:对系统的安全管理制度、安全策略等文档进行检查,查看是否符合等级保护要求。 ? 测试:利用专业的工具和方法,对系统的网络安全、主机安全、应用安全等方面进行技术测试,检测系统存在的安全漏洞和风险。 结果分析与报告编制 ? 结果汇总:将现场测评获取的信息和数据进行汇总和整理。 ? 结果分析:依据相关标准和规范,对测评结果进行分析,判断系统是否达到相应的安全保护等级要求,确定存在的安全问题和风险。 ? 报告编制:编制测评报告,内容包括测评概况、测评依据、测评结果、安全问题和风险分析、整改建议等。 报告评审与交付 ? 内部评审:测评机构内部对测评报告进行严格评审,确保报告的准确性和完整性。 ? 报告交付:将评审通过的测评报告交付给委托方。委托方根据测评报告进行整改,整改完成后可申请复测。
服务时限
网络安全等级保护测评服务的时限因项目而异,以下是各阶段的大致时间: 测评准备 ? 确定测评对象、成立测评项目组、收集资料和签订合同,一般需要1 - 2周。如果委托方需求明确,且测评机构资源调配顺畅,时间可能更短;若涉及多方协调或资料收集困难,时间则可能延长。 方案编制 ? 初步调研、制定测评方案和方案评审通常需要1 - 2周。对于简单的信息系统,初步调研和方案制定可能较快完成;但对于复杂的大型系统,可能需要更多时间进行深入调研和细致规划。 现场测评 ? 现场测评的时间跨度较大,简单的小型系统可能1 - 3天即可完成,而复杂的大型系统可能需要数周甚至数月。例如,小型企业的单一信息系统,现场测评可能1 - 2天就能结束;但对于大型金融机构或政府部门的复杂信息系统,由于涉及多个子系统、大量设备和复杂的业务流程,现场测评可能需要3 - 6周甚至更长时间。 结果分析与报告编制 ? 结果分析和报告编制一般需要1 - 2周。如果测评结果数据清晰,问题较少,分析和报告编制相对顺利,时间会较短;若存在较多复杂的安全问题需要深入分析,报告编制的时间会相应延长。 报告评审与交付 ? 内部评审一般在1 - 3天内完成,报告交付给委托方通常在评审通过后的1 - 2天内。若报告需多次修改或委托方有特殊要求,交付时间会相应推迟。 整个网络安全等级保护测评服务从开始到结束,简单项目可能在1 - 2个月内完成,复杂项目则可能需要3 - 6个月甚至更长时间。
收费标准
网络安全等级保护测评的收费没有统一标准,以下是一些常见的收费参考范围: ? 二级等保测评:适用于一般信息系统,如企业内部办公系统。收费标准一般在5万至10万元人民币之间。如果是小型企业较为简单的信息系统,费用可能会低一些,两三万也有可能;若系统规模较大或业务逻辑相对复杂,费用则可能接近10万元甚至更高。 ? 三级等保测评:针对对信息安全有较高要求的系统,如金融、医疗等行业的关键业务系统。费用范围通常在7万至20万元人民币。对于一些涉及大量数据交互、复杂业务流程或承载关键业务,且系统规模大、架构复杂的三级系统,费用可能会超过20万元。 ? 四级及以上等保测评:涉及更为复杂的信息系统,如国家级重要基础设施。这类测评费用更高,具体金额需根据系统具体情况和服务商报价确定。 收费标准还受系统规模与复杂度、地区差异、服务商选择、额外服务需求等因素的影响。
收费依据
网络安全等级保护测评的收费依据主要有以下几方面: ? 相关法规政策:《网络安全等级保护条例》及相关文件规定了不同等级信息系统的安全保护要求和测评标准,为收费提供了政策依据和基本框架。信息系统的等级划分决定了测评的广度和深度,不同等级对应不同的测评指标和要求,费用也呈现阶梯式差异。一般来说,二级系统基础测评费用约3 - 8万元,三级系统全面测评费用通常8 - 15万元,四级系统专项测评可能达20万元以上。 ? 测评成本:包括人力成本,测评需要专业的技术人员,其经验和资质会影响收费。还有设备使用成本,若测评过程中需要使用特殊设备或工具,可能会产生额外的租赁或使用费。此外,报告编制也会产生费用,依据报告详细程度不同有所差异。 ? 系统情况:系统规模越大、复杂度越高,测评工作量和难度相应增加,费用也会更高。例如系统所包含的服务器主机设备数量多、涉及多个子系统联动或有复杂的业务流程等,都会使测评成本上升。另外,若同一单位有多个相同或不同等级信息系统同时测评,或由同一家测评机构对未做重大变更的同一信息系统进行再次测评,收费会根据相应的调节因子有所调整。 ? 地区差异:不同地区的经济发展水平、市场需求和信息安全市场环境不同,导致测评费用存在差异。一般经济发达地区的测评费用可能相对较高,而经济欠发达地区则相对较低。 ? 测评机构资质与服务质量:资质高、信誉好、专业程度高的测评机构,通常拥有更丰富的经验和更专业的技术团队,能够提供高质量的测评服务,其收费也会相应较高。
